Configurar Barnyard 2 con Snort

• Antes de que comencemos
• Actualizar, actualizar y reiniciar
• Configuración previa a la instalación
• Configurando Barnyard2
• Pruebas

Barnyard2 es una forma de almacenar y procesar las salidas binarias de Snort en una base de datos MySQL.

Antes de que comencemos

Tenga en cuenta que si no tiene snort instalado en su sistema, tenemos una guía para instalar snort en sistemas debian . Debe tener snort instalado para que este sistema funcione.

Actualizar, actualizar y reiniciar

Antes de poner nuestras manos en las fuentes de Snort (S), debemos asegurarnos de que nuestro sistema esté actualizado. Podemos hacer esto emitiendo los comandos a continuación.

sudo apt-get update
sudo apt-get upgrade -y
sudo reboot

Configuración previa a la instalación

Si no tiene instalado MySQL, puede instalarlo con el siguiente comando,

sudo apt-get install -y mysql-server libmysqlclient-dev mysql-client autoconf libtool

Si no tiene el sistema de detección de intrusiones de red (IDS) Snort instalado y configurado, consulte la documentación de instalación

Configurando Barnyard2

Para instalar Barnyard, necesitamos obtener la fuente de la página de github de Barnyard2 .

cd /usr/src
sudo git clone https://github.com/firnsy/barnyard2 barnyard_src
cd barnyard_src

Ahora que tenemos la fuente de corral necesitamos autoreconfcorral.

sudo autoreconf -fvi -I ./m4

Actualizar referencias de la biblioteca del sistema

Una vez que haya terminado, debe hacer un enlace simbólico a la biblioteca dumbnet como dnet.

sudo ln -s /usr/include/dumbnet.h /usr/include/dnet.h

Debido a que esencialmente hicimos una nueva biblioteca del sistema, tenemos que actualizar la caché de la biblioteca del sistema. Esto se puede hacer emitiendo el siguiente comando:

sudo ldconfig

Configurando Barnyard2 para MySQL

Esta parte es importante porque depende de si su sistema es o no un sistema de 64 bits o un sistema de 32 bits.

Si no está seguro de si su sistema es o no de 64 bits o de 32 bits, puede usarlo uname -mo archlograrlo.

cd /usr/src/barnyard_src
./configure --with-mysql --with-mysql-libraries=/usr/lib/YOUR-ARCH-HERE-linux-gnu

Entonces esa configuración debería verse como ./configure --with-mysql --with-mysql-libraries=/usr/lib/x86_64-linux-gnu

make
sudo make install

Copiando configuraciones

Para configurar correctamente el corral y dejar que funcione con nuestro sistema, necesitamos copiar nuestros archivos de configuración. Además, tenga en cuenta que, mientras probé esto, tuve que crear el directorio de registro para barnyard2; de lo contrario, ejecutarlo fallaría.

sudo cp etc/barnyard2.conf /etc/snort
sudo mkdir /var/log/barnyard2
sudo chown snort.snort /var/log/barnyard2
sudo touch /var/log/snort/barnyard2.bookmark
sudo chown snort.snort /var/log/snort/barnyard2.bookmark

Creando la base de datos

Ahora que nuestra instancia de corral se ha configurado principalmente, necesitamos crear y asociar una base de datos con nuestra configuración.

 mysql -u root -p
 create database snort;
 use snort;
 source /usr/src/barnyard_src/schemas/create_mysql
 CREATE USER 'snort'@'localhost' IDENTIFIED BY 'MYPASSWORD';
 grant create, insert, select, delete, update on snort.* to snort@localhost;
 exit;

Configuración de corral para usar con MySQL

En caso de que no haya cambiado la contraseña en el comando anterior, puede restablecer la contraseña al volver a ingresar el comando mysql e ingresar

SET PASSWORD FOR 'snort'@'localhost' = PASSWORD( 'MYPASSWORD' );

En la parte inferior de su /etc/snort/barnyard2.confarchivo, agregue lo siguiente y edite la contraseña a lo que configuró anteriormente.

output database: log, mysql, user=snort password=MYPASSWORD dbname=snort host=localhost

Por razones de seguridad, necesitamos bloquear nuestro archivo barnyard.conf porque contiene la contraseña de su base de datos en texto sin cifrar.

sudo chmod o-r /etc/snort/barnyard2.conf

Pruebas

Puede probar snort haciendo que se ejecute en modo de alerta utilizando su archivo de configuración.

sudo /usr/local/bin/snort -q -u snort -g snort -c /etc/snort/snort.conf -i eth0

Una vez que se está ejecutando snort, abra otra terminal y haga ping a la dirección de ese sistema, debería poder ver los mensajes en su terminal principal.

Ahora que tiene algunos datos en sus registros de inhalación, debería poder probar el corral contra ellos.

sudo barnyard2 -c /etc/snort/barnyard2.conf -d /var/log/snort -f snort.u2 -w /var/log/snort/barnyard2.bookmark -g snort -u snort

Estas banderas básicamente significan lo siguiente.

-c   specifies the config file.
-d   is the snort output directory
-f    specifies the file to look for.
-w   specifies the bookmark file.
-u / -g   tells barnyard to run as a specific user and group.

Después de iniciar el corral, una vez que Waiting for new dataaparezca, puede salir de la aplicación presionando ctrl + cahora para verificar su base de datos MySQL iniciando sesión nuevamente en el servidor MySQL y seleccionando todo de la eventtabla en su snortbase de datos.

mysql -u snort -p snort
select count(*) from event;

¡Mientras el recuento sea superior a 0, todo funcionó correctamente!

Sin embargo, si el recuento ES 0, probablemente esté haciendo ping a su sistema desde un sistema que coincida con una IP en la lista blanca. Si ese es el caso, intente hacer ping a su sistema desde fuera de su red y asegúrese de que esté expuesto al mundo exterior.

Felicitaciones, ahora tiene una forma de leer y realizar un seguimiento de sus intrusiones detectadas.